红队钓鱼技术之自解压钓鱼木马

已于 2023-08-07 15:42:22 修改
阅读量539 收藏 3
点赞数 1
分类专栏: 红队的自我修养 文章标签: windows 网络安全 网络 安全 web安全
于 2023-08-07 11:16:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xf555er/article/details/132142675
版权

简介

对于使用自解压文件的场景,攻击者可以创建一个自解压的exe文件,该文件解压后自动执行解压出来的文件。然后,通过插入RLO字符,将这个exe文件伪装成另一种看似安全的文件类型,比如文本文件或图片文件。当用户打开这个看似安全的文件时,实际上是在运行恶意的exe文件

RLO(Start of right-to-left override)是Unicode定义的一种特殊字符,其ASCII码为0x3F。这个字符被设计来兼容从右至左阅读的文字系统,如阿拉伯语。当在一行字符前加入一个0x3F字符,系统可以实现文本的反向排列。

在Windows系统中,如果一个字符串中包含RLO字符,系统会将该字符右侧的文本逆序显示。比如,原始字符串 “image[RLO]gpj.exe” 在Windows下会显示为 “imageexe.jpg”。


步骤

1.压缩图片和木马

将木马程序和图片文件添加到压缩文件

image-20230801211458295

常规->压缩选项, 勾选上创建自解压格式压缩文件

image-20230801211539475

点击高级->自解压选项

image-20230801211634607

高级自解压选项->常规处, 将解压路径修改为程序的解压目录, 例如此处我填写的是C:\windows\temp

image-20230801211715274

高级自解压选项->设置处, 填写木马程序和图片文件的解压路径,此处我填写的是C:\windows\temp\hacker.pngC:\windows\temp\beacon.exe

image-20230801211832357

高级自解压选项->模式->静默模式, 勾选上全部隐藏

image-20230801211953561

高级自解压选项->更新, 勾选上解压并更新文件覆盖所有文件

image-20230801212043123

2.修改自解压程序图标

使用resource hacker替换自解压程序的图标, 最好将图标修改为你之前压缩进去的图片

image-20230801221959926

以下是一个图片文件转图标文件的python代码

from PIL import Image

 Open the image file
img = Image.open('hacker.png')

 Resize the image
 Most .ico files are 32x32 or 16x16, according to the standard Windows icon size
img = img.resize((32,32))

 Convert and save the image
img.save('hacker.ico', format='ICO')

图标修改完后点击保存

image-20230801221945776

3.RLO反转后缀

将自解压程序的文件名修改为图片gpj.exe,然后在图片gpj之间插入RLO

image-20230801231256213

插入RLO后的文件名变成了图片exe.jpg,这样自解压程序就拥有了一个图片文件的后缀。点击自解压程序,随即会同时执行木马程序和图片文件

image-20230801231426345

参考链接

  • https://wolke.cn/post/5653cc29.html

  • https://blog.csdn.net/weixin_44747030/article/details/123972595

Henry404s
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
红队渗透打点工具-FindUpload
03-07
FindUpload是一款红队打点工具,帮助渗透测试人员批量url快速发现文件上传点和登录框,提高渗透测试效率和减少手工发现时间。
钓鱼篇-利用RLO隐藏exe&文件捆绑&office免杀-远程模板加载上线CS
weixin_45701675的博客
11-26 1696
钓鱼篇-利用RLO隐藏exe&文件捆绑&office免杀-远程模板加载上线CS
红队之社工钓鱼winrar自解压捆绑
大雾
10-14 198
上线成功。
vagrant启动失败解决办法
qq_36636332的博客
09-15 2105
vagrant up 启动虚拟机报错 Bringing machine ‘default’ up with ‘virtualbox’ provider… Your VM has become “inaccessible.” Unfortunately, this is a critical error with VirtualBox that Vagrant can not cleanly recover from. Please open VirtualBox and clear out your ina
Unicode : RLO
weixin_34245169的博客
05-30 310
分类:备忘,Unicode,Perl 我们一般的输入文字的方向是从左往右,但是世界上总有特例,阿拉伯国家是从右到左的书写方式。经常看到微信里面好友得瑟,也就拿过来总结一下. 每个语言都能实现字符串反转啦,不过和 RLO 还不一样,RLO 的删除是从左向右的。 RLO 是 Right-to-Left Override,具体看 Reference 2 below Perl5可以 use utf...
钓鱼&文件名反转&office远程模板
qq_50854662的博客
05-29 1393
本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及分享者无关 0x01 件名反转 在渗透过程中,有时需要通过钓鱼来来传播一些木马文件,而这些木马文件需要精心的伪装。RLO即 Start Of Right-to-Left override。我们可以通过选择插入Unicode控制字符RLO来达到反转文件名的效果 以CobaltStrike生成的木马BypassA.
钓鱼伪装方法3:如何被压缩文件进行钓鱼欺骗
yuanlirong22的专栏
08-26 294
在常规网络攻击无效果时,采取网络钓鱼将是常用且比较有效的方法。这里介绍一种利用压缩文件捆绑木马的方法,方便大家理解并加强防范。
文件名伪装_RLO红队钓鱼
qq_44657899的博客
01-25 1585
Rlo,即Right-to-LeftOverride 在文件名中插入此类unicode字符,来达到文件名反转的效果 将exe文件命名为mdgnp.exe,然后重命名选中md和gnp,之间插入Unicode控制字符RLO 保存文件名,然后更换图标即可
MSF外网渗透+shellcode免杀
weixin_45605352的博客
04-19 4410
1. 内网穿透 使用的Sunny-Ngrok服务 。你在Sunny-Ngrok官网注册好后获得一条免费或付费的隧道,添加tcp通道,端口号自定。 官网链接:https://www.ngrok.cc/(Sunny-Ngrok服务 ) 在kali下安装Sunny-Ngrok的客户端,在该目录下启动Sunny-Ngrok。 2. 外网渗透 生成外网木马。注意这里的lhost和lport为赠送的域名和远程端口号: msfvenom -p windows/meterpreter/reverse_tcp lho
钓鱼-捆绑木马文件
安于心,修于形
08-01 285
钓鱼 红队
红队必备技能之隐蔽的技巧1
08-03
5.1 添加仓库 5.2 安装Certbot的Nginx软件包 5.3 验证配置是否正确 5.5 获取证书 5.6 自动续订
实战攻防之红队视角下的防御体系突破.docx
08-23
实战攻防之红队视角下的防御体系突破
红队攻防手册,红队攻防教程
04-20
红队攻防教程是指针对网络和系统安全的实践性培训,旨在模拟真实的攻击场景并提供相关的防御技术红队是一个模拟攻击团队,通过模拟真实的黑客攻击来测试组织的安全性,而蓝队则是负责防御和应对这些攻击的团队。 ...
红队测试之Linux提权小结1
08-03
提权背景权 限 提 升 意 味 着 用 户 获 得 不 允 许 他 使 用 的 权 限 。比 如 从 一 个 普 通 用 户 , 通 过 “ 手 段 ” 让 自
使用Mybatis映射时间 DateTime ==> LocalDateTime
qq_58341172的博客
04-25 373
此处有弊端,请移步下一篇……service:接口。
C语言:数据结构(双向链表)
最新发布
weixin_66058866的博客
04-28 478
带头链表里的头节点,实际为“放哨的”,哨兵位节点不存储任何有效元素,只是站在这里“放哨的”,“哨兵位”存在的意义:遍历循环链表避免死循环。
循环双链表的操作
一个正在学习C/C++的博主
04-25 252
【代码】循环双链表的操作。
pve(Proxmox VE)安装i225v网卡驱动
qq_43158436的博客
04-27 427
我的网卡名是enp7s0,所以我是ifup enp7s0。内核版本就是 6.8.4-2-pve。执行命令安装pve-headers。下载完成后,传到pve节点上解压。在pve shell执行命令。使用unzip命令可进行解压。改为:也就是前面加#改为:也就是前面加#查看当前内核版本,如。执行命令进行安装驱动。
使用C++实现尾插式循环链表结构
AndrewYZWang的博客
04-24 506
总结起来,这段代码提供了一个简洁而实用的尾插式循环链表的实现,适用于需要高效进行顺序添加和按最近添加顺序删除元素的场景。用于创建新节点并将新节点插入到链表的尾部,即每次新增节点都会成为新的末尾节点。因此有必要实现一款属于自己的双向链表,这样在有需要的时候就能随时增加自己的特性,让链表更好的服务于其他模块。在使用C++实现链表时,我们需要实现两个主要的类:1. node节点类 ,2. 链接node节点的类。,该节点的前驱和后继均指向自身,形成一个空链表的“闭环”。,它作为链表中的实际节点实现。
goby红队版poc
08-20
Goby红队版POC是一个专门为红队渗透测试设计的工具。红队渗透测试是指模拟攻击者的技术和策略来评估组织的网络安全防御能力,并识别潜在的漏洞和弱点。Goby红队版POC通过发现、测试和利用网络系统和应用程序中的漏洞,帮助安全团队更好地保护组织的网络。 Goby红队版POC的主要功能包括漏洞扫描、漏洞检测和漏洞利用。它可以扫描网络目标,查找可能存在的漏洞,并生成详细的报告。与传统的漏洞扫描工具不同,Goby红队版POC还具备漏洞检测的能力,可以通过发送特定的网络数据包来检测目标系统的漏洞。同时,它还提供了漏洞利用的功能,可以自动化地利用漏洞攻击目标系统,以验证漏洞的存在性,并帮助安全团队修补这些漏洞。 Goby红队版POC还具备一个直观的用户界面,使安全团队能够方便地管理和执行渗透测试任务。它提供了多种方式来配置和管理扫描任务,包括选择扫描目标、设置扫描选项、编写自定义POC等。同时,它还支持生成漏洞报告,以便安全团队更好地识别和修补漏洞。 总之,Goby红队版POC是一款功能强大的红队渗透测试工具,能够帮助安全团队发现和利用网络系统和应用程序中的漏洞,提高组织的网络安全防御能力。它的直观用户界面和丰富的功能使得安全团队能够更加高效地管理和执行渗透测试任务,并根据测试结果采取相应的修补措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值